En pleno debate sobre la seguridad tecnológica de las telecomunicaciones, la popular aplicación de mensajería instantánea,WhatsApp, verdadera reina del teléfono móvil inteligente, ha acelerado los pasos para convertirse en una herramienta más robusta. Y, ahora, por fin será equiparable a otras como Signal y Telegram, erigidas en los últimos años como adalides en este terreno.
La «app» propiedad de Facebook ha implementado por defecto un sistema de cifrado de extremo a extremo -«end to end», en inglés-, que permite a sus más de mil millones de usuarios mantener conversaciones seguras y privadas, tanto en los mensajes de texto como en las llamadas. Para ello ha trabajado con la firma especializada Open Whisper System. Y, tras dos años de colaboración, ha sido ahora, en el marco de la polémica en torno al caso del iPhone de la matanza de San Bernardino (California) que ha enfrentado a Apple y al FBI, cuando se ha hecho extensible este sistema.
Cifrado con una clave secreta y única.
Esta tecnología garantiza automáticamente que únicamente emisor y receptor de la conversación pueden leer los mensajes enviados. Ninguna otra persona, ni siquiera la propia compañía tecnológica, tiene acceso a los mismos, pues están cifrados con una contraseña que solo conocen los interlocutores. El mecanismo, que no se puede desactivar, consiste en la creación de una clave única y temporal que es inaccesible salvo por los usuarios que mantienen la conversación.
Esas claves se almacenan en el dispositivo de cada uno. El servicio es incapaz de generar o almacenar estas claves de cifrado. Tampoco se guardan de forma visible fotos, videos o mensajes de audio. Su funcionamiento es simple: un mensaje escrito por un usuario A se enviará cifrado a un servidor propiedad de WhatsApp y, tras procesarlo, llegará a un usuario B en ese mismo estado. Para tener acceso al contenido de los chats se debería disponer del propio terminal desbloqueado.
Cuando nos comunicamos con cualquier persona en internet es fácil imaginarse que el mensaje viaja como una llamada de teléfono, pero al igual que sucede con las llamadas de teléfono convencionales pueden ser espiadas. «Cuando añades el cifrado a una comunicación de este tipo, lo más sencillo es hacerlo de extremo a extremo, es decir, se mezcla la señal en nuestro teléfono de manera que alguien que intercepte la señal en tránsito solo oiga ruido, y cuando llega al teléfono del receptor, este la descodificará reproduciendo nuestra voz como si nada hubiera pasado», explica Pablo Teijeira, Director General de la firma de seguridad Sophos Iberia.
En las últimas versiones la aplicación utilizaba una mezcla entre el cifrado que ha estado utilizando desde 2012 (RC4) y el sistema que acaban de implantar (Signal Protocol). El primero protegía todas las comunicaciones entre el teléfono y los servidores. Cuando se enviaba un mensaje de texto se aplicaba una capa extra de cifrado sobre el texto del mensaje que utilizaba Signal, logrando así tener un cifrado «más robusto» el cual representa, según el experto de la firma Telefónica Pablo San Emeterio, «un paso más en la seguridad e intimidad de las comunicaciones de las personas». Y bien lo sabe porque en 2013 burló la seguridad de la popular aplicación.
Opción de verificación deshabilitada por defecto
«Aplicar este tipo de mecanismo criptográfico implica que, además de garantizar la inviolabilidad de las comunicaciones en tránsito (del cliente al servidor), eleva la seguridad haciendo que las claves necesarias para descifrar las comunicaciones residan en los propios clientes», señala a este diario Yago Jesús, experto en seguridad informática del sitio especializado Security by Default. «En principio -dice- resulta muy fiable» y «supone una capa extra de seguridad que beneficia al usuario final», aunque considera llamativo el hecho de que una de las medidas de seguridad añadidas a WhatsApp, la verificación de identidad de extremo a extremo que permite avisar al usuario ante un ataque de suplantación, «esté deshabilitada por defecto».
En la misma línea se sitúa Sergio Carrasco, abogado especializado en derecho tecnológico en Fase Consulting, quien apunta que la decisión de WhatsApp de blindar los mensajes «es muy importante porque al final lo que está está haciendo garantizar que no va a haber intromisiones dentro de la conversación que tengan entre las personas, se trata de un sistema seguro». A juicio de este experto, en los servidores de WhatsApp no se guardan los mensajes. «Una vez entregado, se borra del servicio y no se queda en un servidor central».
Más crítico se muestra Carlos Aldama, perito informático, quien considera que el sistema protege el envío y no el mensaje. «La base de datos del móvil sigue siendo la misma y se puede acceder a través del terminal. Lo que se ha implantado sirve para ir en contra de los que se ‘cuelan’ en el momento que estamos transmitiendo la comunicación». A su juicio, es importante tener en cuenta que WhatsApp todavía no hace borrados seguros como Telegram y que no se cifra en sus servidores. Con esto, ¿podemos decir que ahora «wasapear» ofrece un mayor anonimato? «Lo cierto es que no» porque, dice, el teléfono, receptor, destinatario, el día y hora «van a seguir almacenados en los servidores». Son los datos que WhatsApp excluye del sistema de cifrado.
Al fin y al cabo, la seguridad en internet al 100% no existe. «Jamás debemos pensar eso», recuerda San Emeterio. «Los elementos de seguridad que hace 10 años nos parecían infalibles ahora no lo parecen tanto. La seguridad es una cadena de varios eslabones y si se consigue romper uno de ellos es suficiente para dejar de estar seguros», concluye.
